A GOVERNANÇA NO CONTEXTO DA LEI GERAL DE PROTEÇÃO DE DADOS: 7 dicas para sua implantação com segurança - Selos Consultoria

INTRODUÇÃO

No dia 14 de agosto de 2018 foi sancionada a Lei Geral de Proteção de Dados – “LGPD”, Lei n° 13.709/2018, publicada em 15/08/2018 -, que entrou em vigor em 18 de setembro de 2020, após um período de 18 meses para adaptação após sua promulgação. A nova lei introduziu mudanças à abordagem da privacidade por parte de indivíduos, empresas e entes públicos, definindo os direitos dos titulares de dados e de que maneira empresas e órgãos públicos podem coletar e tratar informações das pessoas e organizações.

A LGPD é, assim como o Regulamento Geral sobre a Proteção de Dados – norma europeia que entrou em vigor em maio de 2018, também conhecida pelo acrônimo “GDPR”^[1] , uma norma baseada em princípios e, ao regular a proteção dos dados pessoais, garante direitos aos cidadãos e estabelece regras claras sobre as operações de tratamento realizadas por órgãos públicos ou privados.   A lei deixa claro que os dados são das pessoas e impõe restrições de uso por parte das empresas, o que permite afirmar que se trata de um código de defesa do usuário de serviços digitais. Na sua essência, a LGPD é um conjunto de regras destinadas a dar aos cidadãos mais controle sobre seus dados pessoais e pretende simplificar o ambiente regulatório para as empresas, de forma que tanto os cidadãos como as empresas possam se beneficiar plenamente da economia digital. Seus objetivos principais são: (i) garantir o direito à privacidade por parte do cidadão,  fortalecendo a confiança da sociedade na coleta e uso dos seus dados pessoais; e (ii) estabelecer regras claras para a correta governança dos dados pelas empresas, aumentando a segurança jurídica no uso e tratamento de dados pessoais.

A LGPD estabelece que empresas que infringirem as normas estarão sujeitas a multa diária, publicização da infração, bloqueio e eliminação de dados; mas que será levada em conta, como atenuante, na aplicação das sanções, a “adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados”.

Problema

O uso indevido de dados pessoais para influenciar eleições, a crescente aplicação de análise de dados e tomada de decisões por algoritmos no setor público, a possibilidade no aumento de casos de discriminação e avaliações errôneas por meio de dados, são alguns exemplos que demonstram que o uso e controle de dados se tornou uma questão-chave do nosso tempo.

Nesse panorama, o desenvolvimento da economia digital no Brasil deve buscar proteger os direitos do cidadão em um ambiente regulamentado, que ajude as empresas a inovarem.

Justificativa

A adoção das melhores práticas de gestão passa, necessariamente, pelo cumprimento das normas e pela mitigação dos riscos.

A observância da LGPD pelas organizações é um procedimento fundamental para sua governança, e que deve ser observado desde suas políticas e processos até a concepção de novas tecnologias, por razões de segurança dos dados, de proteção da informação e de qualidade na prestação de serviços; e, especialmente, para minimizar as possibilidades de ocorrência de eventos reputacionais que afetem negativamente os negócios da empresa.

Neste momento em que a maior parte das empresas apenas inicia a implantação de regras gerais de proteção de dados no país, é relevante compilar e disponibilizar informações para pesquisas sobre o tema, partilhando resultados de boas práticas de gestão de dados e apontando falhas em sua execução, desse modo aperfeiçoando a governança corporativa.

A LGPD traz um conceito amplo do que deve ser considerado dado pessoal: trata-se da informação relacionada a uma pessoa natural identificada ou identificável. Ou seja, qualquer dado que, isoladamente ou agregado a outro, possa permitir a identificação de uma pessoa natural, ou sujeitá-la a um determinado comportamento (interpretação esta oriunda de uma leitura integrativa do texto). Em tempos de big data, onde é possível a correlação rápida de grandes bases de dados, praticamente qualquer dado pode, eventualmente, vir a ser considerado pessoal – portanto, sujeito aos ditames da lei.

Os princípios básicos que devem ser levados em consideração no tratamento de dados pessoais incluem sua finalidade, necessidade, transparência, segurança, não discriminação e a responsabilização e prestação de contas, que obriga o responsável pelo tratamento dos dados pessoais a demonstrar de forma cabal e transparente a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais – algo que pode ser feito por meio dos assessments, metodologias de análise também previstas na lei.

Encarregado de Proteção de Dados

Cabe ao Encarregado de Proteção de Dados – EPD das empresas atuar como canal de comunicação entre o controlador de dados e seus titulares e a Autoridade Nacional de Proteção de Dados – ANPD. Ademais, esse profissional deve ser o responsável, dentro da instituição, pela supervisão do cumprimento das regras previstas na lei e por orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. A LGPD determina que toda e qualquer entidade que trate dados pessoais deve indicar um EPD, mas a Autoridade Nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado – inclusive hipóteses de dispensa, como está sendo debatido em Consulta Pública que deverá ser encerrada até 29 de setembro de 2021.

CONFORMIDADE DA ORGANIZAÇÃO À LGPD

Conceito de Governança, Riscos e Compliance (GRC)

Governança, Riscos e Compliance são termos estreitamente relacionados no âmbito dos programas de integridade. Esse conjunto de conceitos, comumente referido pelo acrônimo “GRC”, diz respeito a um esforço por parte da organização para a unificação e transparência de seus processos.

Autores como Pierre Veyrat e Marcos Assi  distinguem a Governança Corporativa da Governança de Processos, afirmando que Governança Corporativa pode ser definida como um sistema usado pelas organizações para gerir, monitorar e motivá-las a atingir seus objetivos com total controle e reconhecimento de suas capacidades e competências, envolvendo o conselho administrativo, organizações não governamentais, equipe de gestão, órgãos reguladores e fiscalizatórios, comunidade e servidores, e no caso das empresas, sócios, acionistas e colaboradores, entre outros, todos reunidos sob a denominação genérica de stakeholders. Os objetivos da governança corporativa incluiriam, segundo esse autor, converter princípios e valores da organização em regras objetivas e alinhar formalmente os interesses dos stakeholders; proporcionar a sustentabilidade do valor econômico da organização em longo prazo, facilitar o seu acesso a recursos, melhorar a gestão e a condução dos negócios e promover o bem comum da sociedade.

Já a Governança de Processos é um conceito mais específico, diretamente relacionado à estipulação de regras e diretrizes para a administração e execução dos processos em uma organização, determinado os responsáveis e os papéis de cada agente do processo, com o objetivo de otimizá-los, eliminando ineficiências, determinando os riscos e as iniciativas para sua prevenção e contingenciamento, visando atingir os objetivos estratégicos da organização.

Ambos os conceitos de Governança são aplicáveis à gestão de dados pessoais, buscando aproveitar ao máximo as vantagens ou minimizar as consequências negativas de qualquer risco na organização, por meio do planejamento, gestão e controle dos recursos do negócio. As diretrizes internas determinadas pela governança, como manuais de ética, definição de valores e normas de prevenção de riscos são enfatizadas, na gestão de dados, sob o enfoque do Compliance, no sentido de assegurar que todas as políticas e controles estejam funcionando de forma integrada, garantindo, assim, uma diminuição de ameaças e potencialização de oportunidades.

Alinhamento da governança da organização à LGPD

O Coordenador da Comissão Especial em Segurança da Informação e de Sistemas Computacionais (CESeg) da Sociedade Brasileira de Computação (SBC), Altair Santin, destacou como desafio a adequação das empresas aos requisitos estabelecidos na lei, especialmente na segurança necessária aos dados, governança destes processos, definição das equipes responsáveis e criação de cultura interna entre gestores e funcionários. Segundo ele, “as empresas não se preocupavam tanto com a privacidade. O backup, a retenção, uma série de coisas que eram feitas sem preocupação agora passam a ter importância. A Lei Geral trouxe necessidades que empresas não se deram conta do custo que isso vai gerar para elas”.

Os componentes essenciais para um programa efetivo de governança de dados para a LGPD começam pelo seu entendimento e pela propagação desse entendimento, desde o nível estratégico, passando pelo tático até o nível operacional, de modo a solidificar a mudança de cultura e de processos necessária ao atingimento dos patamares de conformidade com a lei. Para isso, é necessário identificar e catalogar todo o ativo de dados de pessoas armazenados na empresa, identificar e criticar cada processo de tratamento de dados, formalizando cada um deles com seus riscos, formalizar uma política corporativa a ser obedecida e implantar e monitorar os novos processos.

A fim de minimizar os riscos de criminalização de eventuais falhas no cumprimento da LGPD, a organização deverá inserir nessa política os elementos tornados obrigatórios pela nova lei, e que devem ser necessariamente observados em operações que envolvam coleta, gestão e tratamento de dados pessoais:

1. Definir, segmentar e dar tratamento adequado a dados pessoais, dados pessoais sensíveis e dados públicos;
2. Definir as hipóteses internas de “legítimo interesse”, com base no teste consistente em três etapas: (i) identificar um interesse legítimo (de natureza comercial ou social, por exemplo), (ii) demonstrar que o processamento é necessário para alcançá-lo e (iii) equilibrá-los diante dos interesses e direitos dos indivíduos. Se o mesmo resultado puder ser obtido sem o processamento, então não haverá legítimo interesse[2].
3. Elaborar assessments e metodologias de análise para subsidiar evidências de observância e cumprimento das normas de proteção de dados pessoais;
4. Elaborar bibliotecas de dados pessoais que sejam interoperáveis, passíveis de transferência para outros serviços;
5. Nomear um EPD, independentemente de determinação pela ANPD;
6. Elaborar metodologia que crie o Relatório de Impacto de Proteção de Dados – RIPD instantaneamente, a partir de uma solicitação do EPD, de modo a fornecer uma efetiva fotografia do status da conformidade regulatória da empresa e do software;
7. Elaborar um registro instantâneo, seguro e rastreável das atividades de tratamento (data mapping);
8. Adotar padrões de Segurança da Informação, abrangendo medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais;
9. Adotar a concepção “Privacy by Design” e “Privacy by Default”, desde a concepção do produto e do modelo de negócio, garantindo direitos de proteção à privacidade e aos dados pessoais;
10. Adotar Códigos de Conduta;
11. Obter certificações como CERTICS, Produto de Tecnologia Nacional, ABRADI, SERPRO, outras;
12. Definir se a empresa será um “controlador” (pessoa jurídica a quem competem as decisões referentes ao tratamento de dados pessoais), um “operador” (pessoa jurídica que realiza o tratamento de dados pessoais em nome do controlador); ou ambos, para estabelecer os limites de sua responsabilidade;
13. Elaborar o plano de notificação obrigatória de incidentes à ANPD.

Programa de conformidade à LGPD

A organização deverá buscar a conformidade à lei e aceitar um novo paradigma cultural no que se refere ao uso apropriado de dados pessoais. Em sua essência, a LGPD modificará substancialmente a maneira como a empresa gerencia, usa, armazena, protege e processa dados pessoais.

Nesse sentido, a implementação da LGPD pode representar para as empresas não simplesmente uma barreira regulatória, mas uma verdadeira vantagem competitiva, com potencial para criar um nível respeitável de confiança e reputação junto à sociedade.

O principal elemento para a efetividade de um programa de adequação à LGPD é o compromisso da alta administração. Este é, provavelmente, o fator mais significativo que poderá conduzir a organização a um projeto de operação – e posterior implementação – bem-sucedido.

Os elementos básicos a serem considerados para a estratégia de implementação do plano são:

1. quais requisitos deverão ser cumpridos;
2. quanto irá custar; e
3. quando deverá estar pronto.

O ponto mais importante é que a conformidade à LGPD não é opcional; e as multas previstas em caso de descumprimento são altas. Os requisitos a serem observados e os custos de adequação irão depender da avaliação de cada negócio, mas todos deverão estar em conformidade com a norma.

Maria Fernanda Perognini, da Franco Advogados, sumariza, em 7 tópicos, alguns insights destinados a fornecer um ponto de partida razoável para iniciar um projeto de conformidade à LGPD:

• Estabelecer as necessidades e o contexto: reunir as equipes e mapear a situação interna no que se refere às operações de processamento de dados, a fim de compreender em que medida a LGPD se aplica ao negócio;
• Identificar e analisar os riscos: realizar um gap assessment (legal e técnico) para identificar as providências a serem adotadas, definindo as bases legais para tratamento e avaliando os mecanismos de segurança das bases de dados;
• Definir o projeto de acordo com os riscos: definir responsabilidades; nomear formalmente um EPD, mesmo nos casos em que isso não seja obrigatório; readequar e documentar os processos internos de tratamento de dados;
• Educar: incentivar a adoção de boas práticas e a mudança na cultura interna (através de treinamentos periódicos) e externa;
• Implementar o projeto desenvolvido: elaborar (i) políticas de privacidade (internas e externas) e (ii) contratos com colaboradores e terceiros que impliquem no processamento de dados (operadores), assegurando-se dos meios para garantir sua execução;
• Registrar o processo: documentar as análises e procedimentos e implementar o Registro de Processamento de Dados;
• Monitorar e notificar: organizar uma política de tratamento dos incidentes para garantir o cumprimento de requisitos de comunicação às autoridades em caso de vazamentos ou uso indevido de dados pessoais.

CONCLUSÃO

O ambiente jurídico ensejado pela publicação da LGPD obriga as operadoras e controladoras de dados pessoais a tomarem medidas profundas e sólidas de prevenção, mitigação e reporte de eventos de publicização de dados, não apenas para evitar as pesadas sanções previstas no seu Art. 52, mas, especialmente, para preservar a reputação da empresa e a continuidade de seus negócios.

Recomenda-se, assim, que a Organização aplique aos seus processos que coletarem, tratarem e utilizarem dados pessoais, as regras previstas na Lei Geral de Proteção de Dados, resumidas neste estudo, além das proposições contidas nos 7 tópicos de implantação acima listados.

 

BIBLIOGRAFIA

ANPD – AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS: ANPD apresenta informações adicionais sobre audiência pública da norma de aplicação da LGPD para microempresas e empresas de pequeno porte. 2021. ANPD. Disponível em https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-apresenta-informacoes-adicionais-sobre-audiencia-publica-da-norma-de-aplicacao-da-lgpd-para-microempresas-e-empresas-de-pequeno-porte. Acesso em 13/09/2021.

BENETTI, Estela. LGPD: um código de defesa de dados dos usuários. 2019. NSC Total. Disponível em https://www.nsctotal.com.br/colunistas/estela-benetti/lgpd-um-codigo-de-defesa-de-dados-dos-usuarios. Acesso em 13/09/2021.

BRASIL.  Lei 8.666, de 21 de junho de 1993. Regulamenta o art. 37, inciso XXI, da Constituição Federal, institui normas para licitações e contratos da Administração Pública e dá outras providências. Disponível em http://www.planalto.gov.br/ccivil_03/leis/l8666cons.htm. Acesso em 13/09/2021.

________. Lei 12.349, de 15 de dezembro de 2010. Altera as Leis nos 8.666, de 21 de junho de 1993, 8.958, de 20 de dezembro de 1994, e 10.973, de 2 de dezembro de 2004; e revoga o § 1o do art. 2o da Lei no 11.273, de 6 de fevereiro de 2006. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2010/Lei/L12349.htm. Acesso em 13/09/2021.

_________. Lei 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. Acesso em 13/09/2021.

_________. Decreto 8.186, de 17 de janeiro de 2014. Estabelece a aplicação de margem de preferência em licitações realizadas no âmbito da administração pública federal para aquisição de licenciamento de uso de programas de computador e serviços correlatos, para fins do disposto no art. 3º da Lei nº 8.666, de 21 de junho de 1993. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/decreto/d8186.htm. Acesso em 13/09/2021.

________. Lei 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em 13/09/2021.

CÂMARA NOTÍCIAS. Medida Provisória cria Autoridade Nacional de Proteção de dados. 2019. Disponível em https://www2.camara.leg.br/camaranoticias/noticias/COMUNICACAO/570421-MEDIDA-PROVISORIA-CRIA-AUTORIDADE-NACIONAL-DE-PROTECAO-DE-DADOS.html. Acesso em 13/09/2021.

DIÁRIO OFICIAL DA UNIÃO. Decretos de 9 de outubro de 2021. Designa os membros para compor o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Disponível em https://www.in.gov.br/en/web/dou/-/decretos-de-9-de-agosto-de-2021-337265774 . Acesso em 13/09/2021.

DOURADOS AGORA. Autoridades e pesquisadores debatem adoção da lei de proteção de dados. 2019. Disponível em https://douradosagora.com.br/noticias/brasil/autoridades-e-pesquisadores-debatem-adocao-da-lei-de-protecao-de-dados. Acesso em 13/09/2021.

GERHARDT, Tatiana E.; SILVEIRA, Denise T. Métodos de Pesquisa. Porto Alegre: Editora da UFRGS, 2009. Disponível em http://www.ufrgs.br/cursopgdr/downloadsSerie/derad005.pdf. Acessado em 13/09/2021.

GROSSMAN, Luís Osvaldo; COSTA, Pedro. Autoridade de Dados, no Executivo, não terá reconhecimento internacional. 2019. Convergência Digital. Disponível em https://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site%2Cmobile%252Csite&infoid=50543&sid=4. Acesso em 13/09/2021.

LOBO, Ana Paula; COSTA, Pedro. GSI: Proteção de dados pessoais exige urgência para u pacto federativo. 2019. CONVERGÊNCIA DIGITAL. Disponível em https://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site%2Cmobile%252Csite&infoid=50507&sid=11. Acesso em 13/09/2021.

MARCONI, Marina; LAKATOS, Eva M. Técnicas de Pesquisa. Ed. Atlas. São Paulo. 2007. Disponível em http://www.labev.uerj.br/textos/tecnicas-pesquisa_documentacao-indireta.pdf. Acessado em 22/06/2019.

MARTÍ, Silas. Entenda o escândalo do uso de dados do Facebook. Folha de São Paulo, 22.03.2018. Disponível em  https://www1.folha.uol.com.br/mercado/2018/03/entenda-o-escandalo-do-uso-de-dados-do-facebook.shtml. Acesso em 13/09/2021.

MD2. LGPD Suite. 2019. Disponível em http://www.md2net.com.br/solucoes/lgpd-suite.php?gclid=Cj0KCQjwo7foBRD8ARIsAHTy2wkPpubNULBDYaa9Yn2R0v9CBUSZm6u7YZw-ajzoVqc-sMsuFfRoofsaAlCYEALw_wcB. Acessado em 13/09/2021.

MIRANDA, Leandro Alvarenga; AZEVEDO, Ricardo. LGPD – Perspectivas após a aprovação da Medida Provisória nº 869/2018. 2019. IT Forum 365. Disponível em https://itforum365.com.br/lgpd-perspectivas-apos-a-aprovacao-da-medida-provisoria-no-869-2018/. Acesso em 13/09/2021.

MONTEIRO, Renato Leite. Lei Geral de Proteção de Dados do Brasil – Análise. 2018. Baptista Luz Advogados. Disponível em https://baptistaluz.com.br/institucional/lei-geral-de-protecao-de-dados-do-brasil-analise/. Acesso em 13/09/2021.

PEROGNINI, Maria Fernanda Hosken. LGPD: pequeno guia completo. 2018. Disponível em http://francoadv.com/informativos/LGPD_pequeno%20guia%20completo.pdf. Acesso em 22/06/2019.

SILVA, Airton Marques. Metodologia da Pesquisa. Ed. UECE, 2015. Disponível em http://www.uece.br/computacaoead/index.php/downloads/doc_download/2112-metodologia-da-pesquisa . Acesso em 22/06/2019

VEYRAT, Pierre. Governança, Riscos e Compliance na melhoria de processo. Venki Blog, 2016. Disponível em https://www.venki.com.br/blog/governanca-riscos-e-compliance/. Acesso em 13/09/2021.

WORKFRONT. Data Discrimination: the dark side of big data. 2016. Disponível em https://www.workfront.com/blog/data-discrimination-the-dark-side-of-big-data. Acesso em 13/09/2021.

[1] General Data Protection Regulation. A versão em português (de Portugal) está disponível em https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN. Acesso em 13/009/2021.

[2] ICO. Legitimate interests. Disponível em  https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/. Acesso em 22/06/2019.